《网络系统集成》课程设计报告- 宿迁学院校园网络设计与组建

-0-《网络系统集成》课程设计报告——宿迁学院校园网络设计与组建摘要：校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充分结合是校园网发挥作用的前提。校园计算机网络的建设已成为学校建设中，上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网，一些学校已开始将网络节点延伸至学生寝室，即将校园网面向学生全面开放，使得学校校园网真正在教学科研及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会，校园网是Intranet/Internet他技术在教育机构的一个应用。它是指在学校范围内，在一定的教育思想和理论指导下，为学校教学，科研和管理等教育提供资源共享，信息交流和协同工作的计算机网络。校园网是基于Intranet/Internet技术发展起来的，在功能应用上和Internet大体上相同，都能够实现以下的功能：Wed信息发布和获取、目录服务、电子邮件、安全性管理、广域网络互联、文件、打印共享和网络管理等。因此每个校园网的设计、建设都要经过周密的论证、谨慎的决策和紧张的施工。现在就宿迁学院重新进行网络设计，涉及主要有以下方面到综合布线、无线网辅助有线网的设计、网络设备的选型、vlan的划分、交换机的配置等等。本文从实用的角度出发，依拓网络拓扑结构，对学园网络规划与设计进行了深入的分析，本文主要对校园建网需求分析；逻辑拓扑方案、子网划分、设计子网地址、掩码和网关，指定IP地址；软件模拟；搭建校园网中所需的相关服务器等四个方面展开分析。关键词：校园网；分析；设计；模拟；vlan划分；配置。目录第一章前言TOC\o"1-1"\h\z\t"标题2,2,标题3,3"1.1校园网建设原则………… 2第二章需求分析2.1系统总体需求…………… 32.2系统功能需求…………… 32.3系统性能需求…………… 4第三章校园网总体设计3.1逻辑拓扑方案…………… 53.2子网划分………………… 53.3设计子网地址、掩码和网关…………… 73.4为每个子网中的计算机指定IP地址…………………9第四章校园网的设备选型4.1校园网设备选型对校园网建设的意义………………… 144.2校园网设备的分类……… 144.3校园网设备选型的原则………………14第五章结束语设计心得………………………23参考文献………………………23第一章前言宿迁学院校园网背景宿迁学院是一所极具现代意识、以现代化教学为特色的公办高校。为了推进教育学信息化和现代化，现设计在校内建立校园内部网并通过千兆位链路连接与国际互联网相连。根据要求，我们按照“统一规划、讲究实效、安全可靠”的原则，进行宿迁学院校园网综合系统设计，以满足校园内计算机网络系统的需要。对于宿迁学院来说，由于将有越来越多的资料信息和管理平台放到校园网上，越来越多的用户使用校园网，校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。校园网的作用：为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境，并将计算机引入教学、科研、管理和学习等各个领域；改善学校教学科研、管理和学习环境，提高其水平；熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段，有利于培养面向世界、面向未来的高层次人才。学院将着重进行校园网的接入，并与现教中心相结合，配合多媒体设备，使学校的信息化建设跨上了一个新台阶。1.1校园网建设原则合理利用有限资金。统一规划，软硬兼顾，分期实施，明确近期目标。技术先进成熟，总体性能价格比高。实用、易用，便于维护、管理。保护以往投资，兼容已有系统。支持灵活的扩展性和可重组性，考虑未来需求。采用开发产品，遵循国际标准。信息到科及主要组，主要建筑间光缆连接，建筑物内双绞线布线。系统应用以Intranet技术为优。第二章需求分析2.1系统总体需求随着计算机应用成本的迅速降低，计算机用于办公辅助管理已越来越普及。单机用户由于协作工作关系，数据交换和信息查询的需求迅猛增长，办公自动化和无纸化的呼声日益强烈。信息化时代的到来，使以获取并传授知识信息为主体的学校，感受到了莫大的发展和生存的压力。建设能覆盖全校主要建筑的校园网络，更好地疏通教与学的授、受渠道则是解决这些问题的最佳途径。因此宿迁学院校园网建设的总需求是：建设一个能将散布在学校各处的各种服务器、PC机、终端设备、各类网络设备以及局域网、有线电视广播网、电话通讯网等信息连接起来，形成结构合理并与有关广域网相连的校园计算机网络系统。在上述基础上以现代教育技术为指导，建立满足学校员工教学、科研、管理工作和学生自主学习所需要的软硬件环境和各类信息资源库和应用系统，使其成为内接外连的教育信息服务体。培训校园网管理人员，建立校园网信息资源开发、收集、整理队伍，培训员工校园网的使用技能。促进教学、管理改革。建立、健全校园网维护、使用和信息资源开发、收集的奖励等管理制度。2.2系统功能需求根据当今技术发展的现状，结合宿迁学院实际情况提出以下校园网主要功能：建立课件、教学信息资料库及相关系统。实现授课点播、辅助教学和电子设备等。建立多媒体课堂教学室、多媒体多功能课堂教学示范电教室（可用于网络远程、异地教学和网络会议等）和多媒体多功能实验教室。改革传统的课堂教学手段和实践教学手段。建立学生电子阅览室。培养和倡导学生自主学习、协商学习、信息求索的探究精神。建立多功能多媒体课件、教案制作中心。为学校探索新模式教学，为教师钻研新的教学方法，为学校教学信息资料库和系统的进一步完善提供相应的条件。（未来教师将逐渐转变为电子教学读物、课件的研究制作者和学生自主学习、协商学习的指导者与答疑者。教师的作用交通过网络使所有自学者受益，促使终身教育社会化。）建立校园MIS和OA系统，实现全校计算机辅助管理和办公自动化。建立图书馆计算机管理系统和电子阅览系统，实现图书馆信息自动化管理、快速检索、电子图书阅览。建立远程访问（RAS），利用校园网实时在家备课、办公和接入Internet。通过建立对外信息站点，实现学校信息上Internet和对外信息服务。提供内外E-MAIL等Internet技术支持下的信息交流服务，方便联络及合作。通过校园网实现全校上Internet和校内Intranet互访。利用网络技术，实现多媒体信息交换、视频点播、网络会议、网络电话、远程教育（如与校外班通过网络远程教学）等等功能。兼容校内有线电视网、广播网、监控等网络系统，实现信息互传，达到多网合一，拓展校园网络功能。建立IC卡管理系统，实现校内一卡通建立电子门禁系统和安全监控系统，实现全校远程巡视监控。2.3系统性能需求学院校园网建设原则和功能需求，对校园网性能提出以下需求：主干带宽为1000M，考虑到成本问题，前期规划主干设计为100M，但在设计中要考虑到100M升级到1000M的问题。对部分应用要求高带宽的二级节点设计为1000M。主干和带宽为1000M的二级节点传输介质采用光纤。带宽为100M节点传输介质采用超五类双绞线，音频点采用五类双绞线，视频点采用同轴电缆。电话、传真、电子邮件和基本公众服务应用基本带宽为64K。高质量可视电话、视频会议、数字音频基本带宽为384K。文件传输、WWW应用、图象传输、网络游戏和网上购物基本带宽为1M。MPEG1/VCD视频点播、交互式电视、广播电视基本带宽为1.2M-1.5MMPEG2/DVD视频点播、高清晰度电视基本带宽为3M-8M3D应用、VRML虚拟现实、计算机网络实时多媒体应用基本带宽为6M以上。网络系统可以从100M平滑升级到1000M或未来对ATM的支持。网络支持VLAN。网络系统可以支持第三层交换。网络系统中服务质量支持802.1p。网络协议支持TCP/IP为主的多协议。系统必须具有安全性和管理性。系统中关键应用的服务器必须具有较高的性能。系统必须具有接入广域网的能力。第三章校园网总体设计3.1逻辑拓扑方案学院校园网是结合了学校实际的教学、科研、办公、管理，考虑了网络技术的应用和发展的情况下组建起来的，它基于：开放性的网络协议的标准以及技术成熟、商品化了的硬件和软件。网络带宽可满足当前业务需求，并支持不断发展的业务需要。网络的互连性、可操作性和可扩充性好。安全、可靠，网络管理方便有效。学院校园网是一个具有三层拓扑结构的局域网，总体布局如下：图1网络拓扑图主干路由器（现教中心）主干路由器（现教中心）实验楼教学楼1教学楼2教学楼3教学楼4行政楼老图书馆新图书馆大学生活动中心学生宿舍楼1~20幢骆马湖校区（分校）现教中心图2学校各楼的拓扑划分图3使用BOSON软件模拟校园网拓扑图3.2子网划分VLAN命名：中心交换机：ZX现教中心学生机房A：JSA现教中心学生机房B：JSB现教中心学生机房C：JSC现教中心学生机房D：JSD实验楼交换机：SYL1号教学楼交换机：JXL12号教学楼交换机：JXL23号教学楼交换机：JXL34号教学楼交换机：JXL4行政楼交换机：XZL老图书馆交换机：LT新图书馆交换机：XT大学生活动中心交换机：DH宿舍楼交换机：SSL由于宿舍楼栋数很多，宿舍楼的主交换机还得再接交换机以获得更多的接口。3.3设计子网地址、掩码和网关：VLAN号网段IP网关IP子网掩码说明1/2454/24现教中心：网管2/2454/24现教中心：机房A3/2454/24现教中心：机房B4/2454/24现教中心：机房C5/2454/24现教中心：机房D6/2454/24实验楼7～10172.16.7～10.0/2454/24教学楼1～411/2454/24行政楼12～13172.16.12～13.0/2454/24老、新图书馆14～34172.16.14～34.0/2454/24宿舍楼35/2454/24大学生活动中心中心交换机命名及口令：Switch>en%特征用户模式Switch#configt%全局配置模式Switch(config)#HostnameSeries3550%命名主交换机名称为Series3550Series3550(config)#enablepasswordhnjcSeries3550(config)#enablesecrethnjc1Series3550(config)#endSeries3550(config)#linecon0Series3550(config-line)#passwordSeries3550Series3550(config-line)#loginSeries3550(config-line)#linevty012Series3550(config-line)#loginSeries3550(config-line)#passwordSeries3550Series3550(config-line)#endSeries3550#创建Vlan如下：Switch>enSwitch#configtSwitch(config)#HostnameSeries3550Series3550(config)#exitSeries3550#vlandatabaseSeries3550(vlan)#vtpmodeserverSeries3550(vlan)#vtpdomainZXJ%创建各个VLANSeries3550(vlan)#vlan2nameJSASeries3550(vlan)#vlan3nameJSBSeries3550(vlan)#vlan4nameJSCSeries3550(vlan)#vlan5nameJSDSeries3550(vlan)#vlan6nameSYLSeries3550(vlan)#vlan7nameJXL1Series3550(vlan)#vlan8nameJXL2Series3550(vlan)#vlan9nameJXL3Series3550(vlan)#vlan10nameJXL4Series3550(vlan)#vlan11nameXZLSeries3550(vlan)#vlan12nameLTSeries3550(vlan)#vlan13nameXTSeries3550(vlan)#vlan14~34nameSSLSeries3550(vlan)#vlan35nameDHSeries3550(vlan)#applyApplycompleted.Series3550(vlan)#exitSeries3550#3.4为每个子网中的计算机指定IP地址创建VLAN的IP地址并激活VLAN的设置：(1)VLAN1IP地址Series3550#configtSeries3550(config)#interfacevlan1Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdown%激活VLANSeries3550(config-if)#exit(2)VLAN2IP地址Series3550#configtSeries3550(config)#interfacevlan2Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdownSeries3550(config-if)#exit(3)VLAN3IP地址Series3550#configtSeries3550(config)#interfacevlan３Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdownSeries3550(config-if)#exit(4)VLAN4IP地址Series3550#configtSeries3550(config)#interfacevlan４Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdownSeries3550(config-if)#exit(5)VLAN5IP地址Series3550#configtSeries3550(config)#interfacevlan５Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdownSeries3550(config-if)#exit(6)VLNA6IP地址Series3550#configtSeries3550(config)#interfacevlan６Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdownSeries3550(config-if)#exit(7)VLAN7IP地址Series3550#configtSeries3550(config)#interfacevlan７Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdownSeries3550(config-if)#exit(8)VLAN8IP地址Series3550#configtSeries3550(config)#interfacevlan8Series3550(config-if)#ipaddress54Series3550(config-if)#noshutdownSeries3550(config-if)#exit以此类推，将所有VLAN的IP地址设定好，并激活。创建VLAN的端口设置：分别给vlan2vlan3vlan4vlan5添加端口Series3550#configtSeries3550(config)#intfa0/1-3Series3550(config)#descriptionconnectionto2950JSSeries3550(config-if)#swichportaccessvlan2Series3550(config-if)#exitSeries3550#configtSeries3550(config)#intfa0/1-3Series3550(config)#descriptionconnectionto2950JSSeries3550(config-if)#swichportaccessvlan3Series3550(config-if)#exitSeries3550#configtSeries3550(config)#intfa0/1-3Series3550(config)#descriptionconnectionto2950JSSeries3550(config-if)#swichportaccessvlan4Series3550(config-if)#exitSeries3550#configtSeries3550(config)#intfa0/1-3Series3550(config)#descriptionconnectionto2950JSSeries3550(config-if)#swichportaccessvlan5Series3550(config-if)#exit现教中心学生机房主交换机2950JS的配置：(1)创建VLAN：Switch>enSwitch#configtSwitch(config)#Hostname2950JS2950JS(config)#enablepassword2950JS2950JS(config)#enablesecret2950JS1(2)设置Console密码：2950JS(config)#linecon02950JS(config-line)#password2950JS2950JS(config)#end(3)设置Telnet密码：2950JS(config)#linevty0152950JS(config-line)#login2950JS(config-line)#password2950JSTel2950JS(config-line)#end2950JS#2950JS#vlandatabase2950JS(vlan)#vlanmodeClient2950JS(vlan)#vlan2nameJSA2950JS(vlan)#vlan3nameJSB2950JS(vlan)#vlan4nameJSC2950JS(vlan)#vlan5nameJSD2950JS(vlan)#applyapplycomplete2950JS(vlan)#exit2950JS#(4)设置设备IP地址2950JS#configt2950JS(config)#interfacevlan12950JS(config-if)#ipaddress522950JS(config-if)#noshutdown2950JS(config-if)#exit(5)添加VLAN端口2950JXL#configt2950JXL(config)#intfa0/1-32950JXL(config-if)#switchportaccessvlan22950JXL(config-if)#exit2950JS#configt2950JS(config)#interfacefa0/4-82950JS(config-if)#switchportmodeaccess2950JS(config-if)#switchportaccessvlan22950JS(config-if)#exit2950JS#configt2950JS(config)#interfacefa0/9-142950JS(config-if)#switchportmodeaccess2950JS(config-if)#switchportaccessvlan32950JS(config-if)#exit2950JS#configt2950JS(config)#interfacefa0/15-192950JS(config-if)#switchportmodeaccess2950JS(config-if)#switchportaccessvlan42950JS(config-if)#exit2950JS#configt2950JS(config)#interfacefa0/20-242950JS(config-if)#switchportmodeaccess2950JS(config-if)#switchportaccessvlan52950JS(config-if)#exit同样的方法来设置教学楼，宿舍楼的VLAN划分（但实际情况中，我们学校的VLAN划分还是比较复杂的，这里只是作为举例，并没有划分得那么细）。其中需要说明的是宿舍楼并不是单单的这样划分，还需要像拓扑图中所列的，需要添加交换机以获得更多的接口，配置与上面的方法差不多，就不多做解释了。第四章搭建校园网中所需的相关服务器4.1校园网设备选型对校园网建设的重要意义一个完整的校园网建设主要包括两个内容：技术方案设计；应用信息系统资源建设。技术方案设计主要包括：结构化布线与设备选择、网络技术选型等。应用信息系统资源建设主要包括：内部信息资源建设、外部信息资源建设等。在这里我重点说一下设备选择的重要意义。设备选择这一环节做的好的话首先可以为学校节约大笔的校园网建设费用，其次为校园网网络规模的扩大和校园网服务的扩展提供了较大空间，最后可以为综合布线节约大部分时间。4.2校园网设备的分类构成局域网主要是由网络传输介质和网络互连设备组成的。网络传输介质分为：同轴电缆、双绞线、光纤；网络互连设备主要有：网卡、集线器、交换机、路由器，网络服务器，等。4.3校园网设备选型的原则校园网设备我简单的把它总结为需要硬件设备和软件设备，硬件设备包括交换机，路由器，网络服务器等.软件设备包括专业网管软件.对于中小规模的网络，设备选型时应遵循以下一些基本原则(1)标准化原则：所选择的设备必须基于国际标准或行业标准。因为只有基于标准的产品才有可能和其他厂商的产品互连互通（需要指出的是，并非只要基于标准的产品，彼此之间才能够互连互通）。(2)技术简单性原则：对网络需求必须十分明确。对于普通用户而言，在满足需求的前提下，尽可能选择简单实用的技术和设备。否则，今后的运行管理、故障诊断等，都需要请专业人员，开销巨大，运行效果不见得好。(3)环境适应性原则：不要轻信外国某些机构的评测报告，其中不乏商业因素。而且，即使是权威机构的评测报告，也只是在特定网络环境下取得的结果，不能作为产品选型的全部依据。(4)可管理性原则:对于大型网络而言，这一点是至关重要的，他不但关系到系统的性能指标，甚至关系到系统的可用性。主要考查网管系统对所选设备的监管、配置能力，连同设备能够提供的统计信息和故障检测手段，如骨干交换机必须具备端口映像能力。这对于故障诊断，连同今后的网络规划具备特别重要的价值。(5)容错冗余性原则:除了在网络设计时要考虑冗余，骨干设备的容错冗余也是必须的。所谓容错，就是设备的某一模块出现故障时，是否会影响其他模块，乃至其他设备的正常工作；是否支持热插拔；是否支持备份设备的自动转换等。所谓冗余，就是配置的设备，是否能够安装多个相同功能的模块，在工作正常的情况下实施负载分担，当其中一个出现问题时自动转换。(6)满足需求:满足需求不是指简单地满足用户现有的需求，而应该综合考虑用户在将来的一段比较长的时间内的扩展性。大多数时候，单位投资都是分期进行的，但规划必须尽可能一步到位；不能出现一期满足需要，到了二期就不能再扩的情况，设备选型必须在最大程度上保护用户的投资。(7)实用原则:当然，设备选型也不能太超前，一定要经济实用。对于模块化的网络设备，要注意模块的有效利用，同时建议要用的时候再购买模块。4.1．1WEB服务器的配置Web服务器是校园网中非常重要的一个服务器，通过Web服务器可以发布Web网站，随着教育经济时代的到来，对生源、师资的竞争会越来越来激烈，学校应该将自己的最新研究成果及有关信息发布到网络上，适时实现对网络资源的更新。IIS（InternetInformationService）是Windows2000系统提供的Web服务器程序，可提供以下服务：（1）WWW服务：将Windows2000计算机配置为Web服务器，在互联网上发布自己的Web站点。（2）FTP服务：建立FTP站点，为用户提供文件上传与下载的服务。（3）NNTP服务：支持新闻组传输协议。（4）SMTP服务：为用户提供发送邮件的功能。安装IIS步骤1单击"开始"，指向"设置"，单击"控制面板"，然后启动"添加/删除程序"应用程序。步骤2选择"添加/删除Windows组件"，然后按照如图提示安装、删除或添加IIS组件。图4安装IIS组件建立WEB站点并发布内容步骤1为Web站点创建主页，单击"开始"，单击"控制面板/管理工具/Internet服务器管理器"，打开服务应用程序。右击单击“默认Web站点”，选择“属性”即可设置并发布站点。图5设置Web属性步骤2添加新的主页默认文件名为“计算机系网站资源.html”，并移动到首部。图6添加需要发布的网页步骤3将主页复制到IIS的默认或指定的Web发布目录中。默认Web发布目录也称为主目录，安装程序提供的位置是C:\Inetpub\wwwroot。步骤4在浏览器中输入地址8/即可访问网站了。（网络中的其他计算机亦可访问）4.3.步骤1安装IIS后打开Internet信息服务管理器，右击“默认的FTP站点”,选择“属性”即可设置FTP。图7设置FTP属性步骤2默认FTP站点目录位置是C:\inetpub\ftproot，为实现文件上传和下载功能，如下图所示选择“读取”、“写入”功能。图8设置FTP访问方式步骤3访问FTP://8/，实现上传和下载文件功能。4.3．3邮件服务器的配置邮件服务器安装好后还需要进行一定的配置才能正常工作。下面是具体的配置步骤:步骤1执行【开始】→【管理工具】→【POP3服务】菜单操作，在打开如图所示邮件服务器窗口。图9邮件服务器属性对话框步骤2在窗口左边单击邮件服务器名(本示例为grfwgz02)，然后单击右键，在弹出菜单中选择“属性”选项，或者在右边窗格中单击“服务器属性”链接，都可打开如图54所示邮件服务器属性对话框。图10“添加邮箱”对话框在这个对话框中可以配置服务器所使用端口、日志级别、根邮件目录，是否要采取安全密码身份验证方式，以及是否为新邮箱创建关联的用户。具体配置很简单，不再赘述。步骤3在如图所示邮件服务器窗口左边窗格中选择相应的邮件服务器域名，在右边窗格中单击“添加邮箱”链接。在这里可以添加新用户邮箱。如果要同时为系统创建一个用户帐户，则要选择“为此邮箱创建相关联的用户”复选项，输入好邮箱名和密码后单击“确定”按钮，系统会弹出如图所示提示。在提示中提醒了用户在使用不同身份验证方式下的用户邮箱帐户名称。图11“POP3服务”提示框当所创建的用户邮箱名与域系统中已有用户帐户名一样时，就不要选择“为此邮箱创建相关联的用户”复选项了，直接输入与用户帐户一样的邮箱名即可。这样，系统会自动在他们的用户帐户中配置以邮件服务器域名为尾缀的电子邮件地址，如图所示。否则将创建一个以所输入的用户名+000为用户名的用户帐户，就像上图中提示那样的Iren000，这是因为原来在系统中已存一个Iren用户帐户。图12用户属性对话框“常规”选项卡添加了用户邮箱后的邮件服务器窗口如图所示。此时在“状态”列中显示“已解销”，表示用户可以使用邮箱了。如果要禁用某用户的邮箱，则只需在相应用户邮箱上单击右键，在弹出菜单中选择“锁定”选项即可。图13添加了用户邮箱的邮件服务器窗口步骤4除了可以向已有域邮件服务器中添加用户邮箱外，还可以在邮件服务器添加多个隶属于不同域系统的邮箱系统。方法是在如图所示邮件服务器窗口中选择邮件服务器，然后在右边的窗格中单击“新域”链接，打开如图所示对话框。在其中输入新的邮件服务器域名，单击“确定”按钮即可。这样在一个邮件服务器中就可以为多个不同域系统担当邮件服务器角色。图14“添加域”对话框4.3．4防火墙的配置

防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计，有专用网络芯片处理数据包。同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。硬件防火墙分为包过滤防火墙、应用网关防火墙和规则检查防火墙。对于企业网络而言，通常应当选择包过滤防火墙。默认情况下，所有的防火墙都是按以下两种情况配置的：

●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。校园网一般采用Web服务器位于防火墙上（见下图15）优点：内网安全。缺点：警惕Web服务器的安全。内网内网外网图15Web服务器和防火墙防火墙的基本配置原则在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同